Protégete de Pegasus

Actualizado: 6 may

Incluso cinco años después de que Lookout y Citizen Lab lo descubrieran, el spyware móvil avanzado Pegasus sigue siendo muy relevante a medida que sigue surgiendo la revelación de su uso generalizado y sus capacidades en evolución, como la capacidad de realizar ataques sin clic.

El grupo con sede en Israel detrás de Pegasus, NSO, se ha enfrentado a un escrutinio creciente por parte de agencias gubernamentales y organizaciones privadas por sus tratos con regímenes cuestionables en todo el mundo.


Recientemente, Citizen Lab alertó al primer ministro del Reino Unido, Boris Johnson, de que su oficina en el número 10 de Downing Street, así como el Foreign and Commonwealth Office, habían sido infectados con el malware. Esto sigue al ataque contra 11 diplomáticos estadounidenses que trabajan en Uganda informado por Reuters en diciembre de 2021. Citizen Lab sospecha que los actores de amenazas de los Emiratos Árabes Unidos están detrás de este ataque más reciente contra funcionarios del Reino Unido.


En noviembre de 2021, el Departamento de Comercio de EE. UU. prohibió a las corporaciones estadounidenses realizar negocios con NSO. Posteriormente, Apple, Inc., alegando que los ciudadanos estadounidenses fueron el objetivo del spyware, se convierte en la última empresa en demandar al fabricante de spyware, casi un año después de que un grupo de firmas tecnológicas de alto perfil, incluidas Microsoft, Google, Cisco y VMware, se unieran al equipo legal de Meta contra el grupo.


¿Qué es Pegasus?

Una vez considerado el software espía móvil más avanzado del mundo, Pegasus se puede implementar en dispositivos iOS y Android. Desde su descubrimiento, el software espía ha seguido evolucionando. Lo que hace que Pegasus sea altamente sofisticado es el control que le da al actor malintencionado sobre el dispositivo de la víctima, los datos que puede extraer y su evolución hacia una carga útil sin clic.


Pegasus puede extraer coordenadas GPS, fotos, archivos de correo electrónico y mensajes cifrados de alta precisión de aplicaciones como WhatsApp y Signal. También puede encender el micrófono de los dispositivos para escuchar conversaciones privadas en la habitación o llamadas telefónicas y activar la cámara para grabar video.


Durante años, NSO Group ha negado que Pegasus sea utilizado por actores malintencionados. La firma afirma que solo vende Pegasus a la comunidad de inteligencia y aplicación de la ley de unos 40 países y que las historias de derechos humanos de todos los prospectos se examinan rigurosamente. El asesinato del periodista Jamal Khashoggi en 2018 generó dudas significativas sobre esto porque se creía ampliamente que el gobierno saudí rastreó a Khashoggi al comprometer su teléfono móvil con Pegasus.


Tanto los ciudadanos como los gobiernos deberían preocuparse

Esta revelación de cuán ampliamente se usa el spyware Pegasus debería alarmar a todos los ciudadanos, no solo a las entidades gubernamentales. La comercialización de software espía, similar a las herramientas de phishing, pone a todos en riesgo. Es posible que tú y tus empleados no seáis objetivos directos de software espía como Pegasus, pero podríais quedar atrapados en el fuego cruzado o convertiros en un punto de giro para que el atacante llegue a su objetivo.


Los dispositivos móviles pueden acceder a los mismos datos que una PC desde cualquier lugar. Esto aumenta drásticamente la superficie de ataque y el riesgo para las organizaciones porque los dispositivos móviles se utilizan normalmente fuera del perímetro de seguridad. Una vez que algo como Pegasus llega a un punto final móvil, tienen acceso a todo, ya sean sus cuentas de Microsoft 365 o Google Workspace. En ese momento, no importa si algo está encriptado. El atacante ve lo que ve el usuario. Esto convierte a cualquier ejecutivo o empleado con acceso a datos confidenciales, investigación tecnológica o infraestructura, en un objetivo lucrativo para los ciberdelincuentes.


Si bien los desarrolladores de aplicaciones y sistemas operativos móviles mejoran constantemente la seguridad de sus productos, estas plataformas también se están volviendo más complejas. Esto significa que siempre habrá lugar para que se exploten las vulnerabilidades y para que prospere el spyware como Pegasus.


Los ataques de phishing móvil siguen siendo la raíz

Por mucho que las cosas cambien, el phishing móvil sigue siendo el primer paso más eficaz para los ciberatacantes. Al igual que otros programas maliciosos para dispositivos móviles, Pegasus suele llegar a sus víctimas a través de un enlace de phishing. La entrega más efectiva de enlaces de phishing es con ingeniería social. Por ejemplo, un periodista llamó nuestra atención sobre Pegasus a quien se le envió un enlace desde un número de teléfono anónimo que prometía consejos sobre una historia de derechos humanos en la que estaban trabajando.


Si bien Pegasus ha evolucionado a un modelo de entrega sin contacto, lo que significa que la víctima no necesita interactuar con el spyware para que su dispositivo se vea comprometido, el enlace que aloja el spyware todavía tiene que llegar al dispositivo. Teniendo en cuenta las innumerables aplicaciones de iOS y Android que tienen funcionalidad de mensajería, esto podría hacerse a través de SMS, correo electrónico, redes sociales, mensajería de terceros, juegos o incluso aplicaciones de citas.


Cómo funcionan estos ataques y cómo Lookout puede ayudarte a protegerte

Las tácticas avanzadas utilizadas por Pegasus son similares a muchas otras amenazas persistentes avanzadas (APT advanced persistent threats). Así es como Lookout puede ayudar a proteger su organización en el contexto de estas tácticas principales que utilizan las APT para llevar a cabo un ataque:


1. Entrega de carga útil

El primer paso para Pegasus y cualquier APT suele ser a través del phishing. Lookout Phishing and Content Protection (PCP) puede proteger a tu organización contra cada uno de los siguientes escenarios que utilizan Pegasus y otras APT:

  • Escenario:Pegasus se puede ejecutar como una infección con un solo clic o con un solo clic. Independientemente de la táctica que se utilice, la carga real del paquete de software espía aún se carga a través de la red.

  • Cómo lo protege Lookout: Lookout descubre, adquiere y analiza continuamente dominios y sitios web recién registrados para descubrir aquellos que están diseñados específicamente para fines maliciosos y de phishing. Lookout anti-phishing brinda protección casi en tiempo real contra ataques de phishing de hora cero.


2. Explotación de vulnerabilidades

El software espía con frecuencia explota las vulnerabilidades tanto a nivel de la aplicación como del dispositivo para obtener acceso al sistema operativo (SO) del dispositivo o filtrar datos de partes particulares del sistema.

  • Escenario: Lookout Mobile Endpoint Security (MES) detecta cuando una vulnerabilidad de la aplicación está presente en un dispositivo móvil y cuando el dispositivo ejecuta una versión del sistema operativo o Android Security Patch Level (ASPL) con vulnerabilidades conocidas. En cada caso, Lookout puede alertar tanto al usuario como al administrador de seguridad.

  • Cómo lo protege Lookout: Lookout Mobile Vulnerability Management descubre todas las vulnerabilidades y exposiciones comunes conocidas (CVE) para iOS y Android a nivel de sistema operativo y aplicación. Marcará automáticamente los dispositivos de su flota que presenten vulnerabilidades.


3. Dispositivo comprometido

Pegasus y otras APT harán jailbreak o rootearán silenciosamente el dispositivo de la víctima. Además, aunque no se conocen los exploits de día cero por su naturaleza, dejan el sistema en un estado comprometido. Lookout Mobile Endpoint Security puede proteger la flota móvil de su organización de estos exploits de las siguientes maneras:


  • Escenario: Lookout detecta los indicadores de compromiso del dispositivo y alerta a los propietarios del dispositivo. La detección se basa en el análisis de los datos de telemetría del dispositivo, incluidos los datos del sistema de archivos, el comportamiento y los parámetros del sistema. Según los detalles del paquete de spyware, como su funcionamiento o su ubicación en los sistemas del dispositivo, Lookout detecta los rastros que puede producir.

  • Cómo lo protege Lookout: Lookout ingiere continuamente artefactos de malware y telemetría del ecosistema móvil. Esto alimenta la inteligencia de nuestra máquina para identificar automáticamente el comportamiento malicioso en cualquier dispositivo o aplicación.


4. Comunicación desde la carga útil

Al igual que otros programas maliciosos, Pegasus se comunicará con un servidor de comando y control (C2) desde el cual recibirá órdenes del actor malintencionado y al que enviará los datos extraídos.


  • Escenario: Al igual que cualquier sitio web, los servidores C2 están alojados en sistemas remotos que Lookout puede identificar como maliciosos.

  • Cómo lo protege Lookout: Lookout detecta cuando el dispositivo está intentando conectarse a un servidor C2 y finaliza la conexión. Esto puede ayudar a prevenir la exfiltración de datos confidenciales y descargas adicionales de malware.


Extracto del articulo original en ingles por

Hank Schless

Senior Manager, Security Solutions

Referencias:



306 visualizaciones0 comentarios

Entradas Recientes

Ver todo